币圈界报道:

Hinkal协议遭入侵:83万美元资产被清空,洗钱路径浮出水面

2026年7月3日,专注于链上隐私保护的DeFi协议Hinkal遭遇重大网络安全事件,其智能合约被攻破,导致约83万美元的USDC资产被非法转移。攻击发生后数小时内,黑客借助混币服务与跨链桥迅速完成资金流转,使本已脆弱的隐私技术生态面临更大信任危机。

漏洞溯源:外部账户触发“无证明存款”实现资产提取

区块链安全机构CertiK最早披露此次攻击细节。调查确认,攻击者使用一个特定外部账户(地址为0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20),向Hinkal的智能合约提交了所谓的“无证明存款”操作,并随后连续发起多轮“Transact”调用,从而绕过验证机制完成资金提取。

CertiK在公开平台指出,该系列操作成功盗取超过80万美元资产。而PeckShield进一步分析显示,实际损失金额约为82万美元,接近协议全部锁定价值。

资金去向:经由制裁混币器与跨链通道实现深度匿名

据CertiK追踪,黑客将窃取的USDC兑换为以太坊(ETH)后,分批转入被美国政府列入制裁名单的Tornado Cash混币器。其中410枚ETH(估值约70万美元)进入该系统,其余44.67枚则通过Thorchain跨链桥反向迁移至比特币网络,最终存入以bc1qr2sf开头的比特币地址。

这种结合受控混币器与跨链转换的技术路径,已在近期多起加密资产盗窃案中被重复使用。一篇发表于ACM Web Conference 2026的研究表明,尽管监管压力加剧,被禁混币器仍持续为非法资金提供匿名支持。CertiK报告亦强调,即便在制裁背景下,此类工具的使用模式并未显著减少,反而呈现出隐蔽性增强的趋势。

协议定位:机构级链上隐私层,聚焦交易信息隐藏

Hinkal旨在为机构用户提供高阶链上隐私服务,允许用户创建不可追踪的虚拟地址,在不暴露余额或交易对手的前提下完成转账、兑换与支付操作。其支持以太坊、Arbitrum、Base、Polygon及OP Mainnet等五大主流链。

根据公开融资记录,该协议曾通过种子轮和战略融资获得来自Draper Associates、Quantstamp与NGC Ventures等知名投资方的550万美元支持。就在攻击前一日,其宣布与钱包服务商Turnkey达成合作,计划为其用户开放隐私功能模块。

损失比例惊人:几乎全数资产被清空,行业信心受创

虽然本次被盗金额(约82万美元)在大型DeFi攻击中属中低水平,但考虑到攻击时协议总锁仓价值(TVL)仅为82.9万美元,这意味着几乎所有用户资金均被席卷一空。

此次事件凸显了面向隐私保护的DeFi协议在智能合约安全性方面的深层缺陷。尤其当这类协议承诺“绝对匿名”时,一旦存在漏洞,将对用户信任造成毁灭性打击。

数据显示,截至攻击发生前,Hinkal在隐私类协议中的TVL排名靠后,远低于Tornado Cash(4.4亿美元)、Railgun(7750万美元)及Privacy Pools(780万美元)等主要竞品。

截至目前,Hinkal尚未在其官方社交媒体或官网发布任何正式声明回应此次事件。